Nederlandse supermarkten en drogisterijen bleken massaal data over interesse in of aankopen van zwangerschapstesten door te sluizen naar grote techbedrijven als Google en Meta. Dat meldde Tweakers vorige week op basis van onderzoek van de Groene Amsterdammer en Investico. Mag niet, maar heel kwaadaardig voelt het ook weer niet.
De drogisten hebben zogenoemde ‘tracking cookies’ op hun website staan, waarmee Google, Meta en Tiktok gebruikers van de homepage tot in het winkelmandje kunnen volgen. ‘Die cookies bevatten codes die uniek zijn voor jouw computer of browser’, zegt Güne? Acar, computerwetenschapper aan de Radboud Universiteit. ‘Als je ergens bent ingelogd bij bijvoorbeeld Google, Youtube, Facebook of Instagram, kunnen ze de zwangerschapstest meteen linken aan de rest van de informatie die ze over je hebben. Zo volgen ze je over het hele internet.’
Heel bijzonder is dit niet: heel ecommerce-internet hangt aan elkaar van de tracking cookies, pixels en serverside technieken om maar zo veel mogelijk over datapunten, pardon consumenten te weten te komen.
Dus tsja, als jij na je pak melk of beautyproduct ook een zwangerschapstest in je mandje doet, dan gaat dat via hetzelfde kanaal naar dezelfde Big Tech partijen. Het is geen gericht besnuffelen op zwangerschap of andere gezondheidszaken, maar gewoon wat gebeurt als je als winkel tracking aanzet.
Tegelijkertijd: nee, mag niet. Want zwangerschap is (hoewel geen ziekte) een gezondheidsgegeven, en dus een bijzonder persoonsgegeven onder de AVG. Dat mag niet worden verwerkt behalve in bijzondere gevallen die hier niet opgaan. Ook niet als het in je cookiebanner staat, als je het had kunnen weten of als je “ja (uitdrukkelijk)” klikt op de banner.
Alleen: is “bezoeker thx1137 koopt een zwangerschapstest” wel een persoonsgegeven? Drogist DA meent van niet, aldus het Tweakers-artikel:
“Het bestellen van een zwangerschapstest in een webshop leidt niet tot bijzondere persoonsgegevens. Een dergelijke bestelling kan namelijk bedoeld zijn voor iemand anders of voor een onzekere toekomstige situatie. Dit betekent dus dat dergelijke informatie niet met zekerheid iets zegt over de gezondheidstoestand van de klant. De koop van een zwangerschapstest vormt een persoonsgegeven, maar geen bijzonder persoonsgegeven zoals bedoeld in de AVG”, meent DA.
“Onzekere toekomstige situatie”, da’s er eentje voor naast “geen actieve herinnering”. Maar de kern van het argument is: is iets een bijzonder persoonsgegeven als het kan wijzen op gezondheid, of pas als we zeker weten dat het daarover gaat?
Dit argument kwam in 2024 aan de orde in het Lindenapotheke-arrest van het Hof van Justitie (C-21/23). Dat ging over de vraag of concurrenten elkaar van AVG-schendingen mochten betichten, maar onderliggend was de kwestie of de verkochte producten (apothekerswaren) raakten aan bijzondere persoonsgegevens.
Ook hier kwam het argument langs dat je dat niet 100% zeker weet, omdat je geen doktersrecept hebt. Maar het Hof van Justitie wijst dat scherp af (punt 78):
Gegevens over de aankoop van geneesmiddelen die het mogelijk maken om conclusies te trekken over de gezondheidstoestand van een geïdentificeerde of identificeerbare persoon, moeten dus worden aangemerkt als gegevens over de gezondheid in de zin van artikel 4, punt 15, AVG.
Genoeg hiervoor is dus dat het kan. Natuurlijk kan die conclusie dan onjuist zijn (niet Marietje is zwanger maar haar zus, voor wie zij de test kocht). Maar dat maakt expliciet niet uit:
Dit principiële verbod staat los van de vraag of de informatie die bij de betrokken verwerking aan het licht komt al dan niet juist is en of de exploitant het doel nastreeft om [de bijzondere persoonsgegevens] te verkrijgen (…).
De achterliggende gedachte is dat het om zeer zwaarwegende redenen verboden is om die gegevens te verwerken als ze gezondheidsgegevens zijn, en dat we willen uitsluiten dat die gegevens verwerkt worden met slappe-hap argumenten als “het kan anders liggen” of “onzekere toekomstige omstandigheden”.
Dus nee, dit mag niet. Ook niet als het bijvangst is van ‘gewone’ Analytics of tracking die werkelijk geen interesse heeft in medische informatie. (Verplichte link naar dat Big Data-verhaal uit 2012.)
Hoe het anders moet? Een zwarte lijst met gezondheidsproducten die uitgesloten moeten worden van de tracking. Ik weet niet of dat technisch kan. Wat ook wel weer wat zegt over Adtech: niemand weet echt hoe het werkt.
Arnoud
